Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   проблема при загрузке (http://forum.oszone.net/showthread.php?t=204747)

Creazy 14-04-2011 12:58 1658111
проблема при загрузке
 
Вложений: 1
при загрузке винды перед приветствием появляется окошка, с какимто символом вместо название , и 1-2 буквами в самом окне.
пробовал закрыть, крестик не отвечает, нажимаешь ОК, загрузка продолжается нормально.
что делать?
windows XP home SP3

zirreX 14-04-2011 13:26 1658141
Запустите AVZ. Меню Файл - Восстановление системы - отметьте галочкой пункт 7 и нажмите "Выполнить отмеченные операции".

Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

У вас был установлен Др. Веб?

Обновите Adobe Reader до последней версии.

Creazy 15-04-2011 00:53 1658619
Вложений: 1
был установлен NOD32, удалил, поставил Avira
пункт 7 выполнил, Пофиксил в HiJackThis указанные строки.
лог сделал.
Обновил Adobe Reader.

Creazy 15-04-2011 01:12 1658626
окошко так и вылазиет

zirreX 15-04-2011 01:48 1658637
Цитата:
Цитата Creazy
был установлен NOD32, удалил, поставил Avira »
Вижу "хвосты" от Др.Веб. Для корректного удаления Др.Веб воспользуйтесь утилитой Dr.web Remover.

Цитата:
Цитата Creazy
окошко так и вылазиет »
Можете сделать скрин этого окошка?

Подготовьте еще лог OTL by OldTimer

Creazy 15-04-2011 02:28 1658646
Вложений: 2
хвосты удалил.

Creazy 15-04-2011 02:29 1658647
Вложений: 1
вот ещё один

zirreX 15-04-2011 14:06 1658984
Запустите OTL. Скопируйте ниже написанный скрипт в окно Custom Scans/Fixes и нажмите кнопку Run Fix

Код:
:OTL
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O33 - MountPoints2\{131c825e-9ba8-11dc-b1a8-001bfc8893c3}\Shell\Auto\command - "" = F:\sal.xls.exe
O33 - MountPoints2\{131c825e-9ba8-11dc-b1a8-001bfc8893c3}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
O33 - MountPoints2\{1761e0be-dfd3-11dc-b2df-001bfc8893c3}\Shell\Auto\command - "" = G:\sal.xls.exe
O33 - MountPoints2\{1761e0be-dfd3-11dc-b2df-001bfc8893c3}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
O33 - MountPoints2\{3a8a363a-9ceb-11dc-b1ad-001bfc8893c3}\Shell\Auto\command - "" = F:\sal.xls.exe
O33 - MountPoints2\{3a8a363a-9ceb-11dc-b1ad-001bfc8893c3}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
O33 - MountPoints2\{5a6bb3a1-764a-11dc-b0ed-001bfc8893c3}\Shell - "" = AutoRun
O33 - MountPoints2\{5a6bb3a1-764a-11dc-b0ed-001bfc8893c3}\Shell\AutoRun\command - "" = E:\Autorun.exe
O33 - MountPoints2\{693d44a5-7353-11dc-b0dd-001bfc8893c3}\Shell - "" = AutoRun
O33 - MountPoints2\{693d44a5-7353-11dc-b0dd-001bfc8893c3}\Shell\AutoRun\command - "" = E:\
O33 - MountPoints2\{89b2418a-4c1d-11dd-b49c-e7a6bca9c3b3}\Shell\AutoRun\command - "" = E:\qlwhor.exe
O33 - MountPoints2\{89b2418a-4c1d-11dd-b49c-e7a6bca9c3b3}\Shell\explore\Command - "" = E:\qlwhor.exe
O33 - MountPoints2\{89b2418a-4c1d-11dd-b49c-e7a6bca9c3b3}\Shell\open\Command - "" = E:\qlwhor.exe
O33 - MountPoints2\{89b2418c-4c1d-11dd-b49c-e7a6bca9c3b3}\Shell\Auto\command - "" = F:\sal.xls.exe
O33 - MountPoints2\{89b2418c-4c1d-11dd-b49c-e7a6bca9c3b3}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
O33 - MountPoints2\{9556da6c-7e52-11dc-b112-001bfc8893c3}\Shell\Auto\command - "" = G:\sal.xls.exe
O33 - MountPoints2\{9556da6c-7e52-11dc-b112-001bfc8893c3}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
O33 - MountPoints2\{9556da6d-7e52-11dc-b112-001bfc8893c3}\Shell\Auto\command - "" = H:\sal.xls.exe
O33 - MountPoints2\{9556da6d-7e52-11dc-b112-001bfc8893c3}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
O33 - MountPoints2\{99b831f4-993d-11dc-b19d-001bfc8893c3}\Shell\Auto\command - "" = F:\sal.xls.exe
O33 - MountPoints2\{99b831f4-993d-11dc-b19d-001bfc8893c3}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
O33 - MountPoints2\{cf5501ea-cf64-11dc-b2a1-001bfc8893c3}\Shell\Auto\command - "" = F:\sal.xls.exe
O33 - MountPoints2\{cf5501ea-cf64-11dc-b2a1-001bfc8893c3}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
O33 - MountPoints2\{df275920-58ac-11dd-b4c7-ce000837ce36}\Shell\Auto\command - "" = F:\sal.xls.exe
O33 - MountPoints2\{df275920-58ac-11dd-b4c7-ce000837ce36}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
@Alternate Data Stream - 127 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:8DAF83BD
@Alternate Data Stream - 119 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:BF14D50A

:Files
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
 
:Commands
[purity]
[emptytemp]
[resethosts]
[CREATERESTOREPOINT]
[emptyflash]
[Reboot]
Внимание! Компьютер перезагрузится!

Прикрепите полученный лог к вашему сообщению.



• Выполните скрипт AVZ

Код:
begin
ExecuteRepair(7);
end.

Creazy 15-04-2011 14:23 1659002
Вложений: 1
сделал.

zirreX 16-04-2011 01:39 1659397
что с проблемой?

Creazy 16-04-2011 01:43 1659402
окошко всё так же появляется((((

zirreX 16-04-2011 02:31 1659425
Пуск - Панель управления - Администрирование - Локальная политика безопасности - Локальные политики - Параметры безопасности - очистите параметры Интерактивный вход: Текст сообщения для пользователей при входе в систему и Интерактивный вход: Заголовок сообщения для пользователей при входе в систему.

Creazy 16-04-2011 02:42 1659429
не прокатит, на windows XP home эти опции не установлены.

okshef 16-04-2011 10:17 1659507
Creazy, зайдите в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и проверьте значения параметров
LegalNoticeCaption и LegalNoticeText - они должны иметь тип "Строковый" (REG_SZ) и быть пустыми.

Creazy 18-04-2011 00:14 1660572
посмотрел, выше указанных параметров по этому адресу нет.

Creazy 18-04-2011 00:30 1660584
Вложений: 1
есть ещё вопрос, а может это окошко вылазить из-за того, что файл, указанный в скрине имеет неверное рассширение, Cclener исправить это не может, удалить нули вручную из окна значение тоже не даёт?


Время: 01:10.

Время: 01:10.
© OSzone.net 2001-